فريق استخباراتي يكشف عن تقنيات التضليل الخادع لبرمجيات APT الصينية

أصدرت إحدى الشركات الرائدة في تقديم حلول مكافحة الهجمات الإلكترونية، تقريرها الجديد لاستقصاء التهديدات الإلكترونية بعنوان "التضليل الخادع: فاير آي تكشف تفاصيل تضليل برمجيات APT الصينية".

وقد تعاون قسم "استخبارات التهديدات" بشركة فاير آي ومركز استخبارات التهديدات التابع لشركة مايكروسوفت لإجراء بحث عن أسلوب جديد للتضليل في اتصالات (القيادة والسيطرة) C2والذي تم استخدامه في بوابة (Microsoft TechNet) وهي بوابة إلكترونيةللمتخصصين في مجال تكنولوجيا المعلومات. وقد توصلت فاير آي إلى أن برمجيات APT17 هي عبارة عن مجموعة خبيثة تمثل تهديدات متطورة ومستمرة يرجع منشأها إلى الصين، حيث يتم نشرها على المنتديات وتنشئ صفحات تعريفية لاستضافة عناوين آي بي (IP Addresses) المشفرة، ثم تقوم بتوجيه برنامج "BLACKCOFFEE" الخبيث للتسلل إلى خادم C2 الخاص بها. والجدير بالذكر أن نظام الأمن في بوابة TecNet ليس مزودا بإمكانية التعامل مع هذا الأسلوب، ويمكن لهذا الأسلوب أيضًا أن يؤثر على منتديات ولوحات أخرى.

سُجلت حوادث سابقة لاستهداف برمجيات APT17 لكيانات حكومية أمريكية ومنظمات دولية غير حكومية وشركات خاصة في جميع أنحاء العالم بما في ذلك قطاع الدفاع والشركات الحكومية وشركة تكنولوجيا المعلومات وشركات التعدين. وتُعد هذه المجموعة من البرمجيات بين عدد قليل من البرامج، التي تشهد تزايدًا مع مرور الوقت، التي تستخدم الأغراض المشروعة للمواقع الإلكترونية العامة لتشفير اتصالات (C2) الخاصة بتلك المواقع. ومن الملاحظة أن برمجيات APT17 كانت تستخدم في السابق محركات البحث العامة "جوجل" و "بنج" لإخفاء أنشطتها واستضافة مواقع تابعة للمتخصصين في مجال أمن المعلومات.

وفي تصريح لها أكدت لورا جالانتي، مديرة قسم "استخبارات التهديدات" بشركة فاير آي أنه "تعتبر التكتيكات الحديثة التي تستخدمها برمجيات APT17 من خلال استخدامها للوظائف المشروعة الخاصة بالمواقع الإلكترونية من أجل إجراء الاتصالات الخاصة بها، نرى أنه من الصعب على المؤسسات أن تكشف تلك التهديدات المتطورة وتمنعها"، واضافت: "نظراً إلى فعالية تلك التهديدات، نتوقع أن هذا التشفير والتضليل سوف يصبح تكتيكًا له قدرة اختراق حقيقية وهو ما تتبناه الجهات المحركة لتلك التهديدات في جميع أنحاء العالم. ومع ذلك فإن التعاون الوثيق مع شركات مثل "مايكروسوفت" والمؤسسات المستهدفة لإجراء استخبارات بشأن هذه التهديدات، سوف يمكننا من دعم متخصصي الأمن وإرباك هذه الأنشطة."

لمزيد من المعلومات عن البرامج الخبيثة APT17 وأحدث أنشطتها، يُرجى الاطلاع على التقرير الكامل على العنوان التالي [أدخل رابط الموقع].
يمكن للشركات والمتخصصين في مجال أمن المعلومات الاطلاع على تقريرنا بشأن استقصاء التهديدات عن البرامج الخبيثة APT17 التي تقوم شركة بمشاركته من خلال الرابط التالي: https://www.fireeye.com/current-threats/threat-intelligence-reports.html

مشاركة:

طباعة